起因
最近看到群组发了关于微软RCE的一个事情,是不是蜜罐先不说,但是微软的域名这就很奇怪了。
经过
于是微步上面查了一下域名,白名单,安全域名
这一切好像都没有什么问题,然而关于这个域名的威胁情报却有一些,
事实上,早在2021年就暴漏过此域名被恶意使用的问题
“code.microsoft.com”。目前研究人员可以确认微软的基础设施没有受到攻击。事实上,未经授权的一方接管了悬空的子域“code.microsoft.com”并将其配置为解析到他们的 Cobalt Strike 主机。
文章url:https://www.4hou.com/posts/7YQG
由此看来,目前该域名出现RCE的漏洞,有很大的可能性和微软无关,
子域名是否被接管?
为什么微软的域名能被恶意使用?此时不得不深入探讨这个问题
假如说:
我注册了一个域名a.com,
并且我有另外一个域名且已绑定服务器test.ccc.com,
我将123465.a.com解析到test.ccc.com,
有一天test.ccc.com过期了,被一个恶意的攻击方抢注了,但是我的123465.a.com仍然还在解析到test.ccc.com
问题不就来了,别人想在我的123465.a.com上面显示什么不就显示什么了?
查看一下code.microsoft.com的解析记录,发现其被解析到了test4152ausjipqa.dynamitecdn.com.,指向的ip为:20.41.17.212和40.78.172.194
至于test4152ausjipqa.dynamitecdn.com是何方神圣,有是否被接管,很难说清,因为其域名注册时间比较早,现在也并未过期.
结尾
种种原因的一切矛头都指向了test4152ausjipqa.dynamitecdn.com这个域名,而这个域名大概率不是微软的资产,是否是一个恶意的攻击者来钓微软账号的Cookie的呢?不得而知。
以上均为个人分析与见解,如有不对,还望各位师傅多多指正!
原文始发于微信公众号(剑外思归客):微软最新版RCE?别被钓鱼了!!!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论